Trending
Blog Verbo Jurídico
You are at:»»Análise preliminar do objeto de auditoria: estruturando escopo e matriz de riscos para auditoria governamental
Elementos da área de Direito
Notícias

Análise preliminar do objeto de auditoria: estruturando escopo e matriz de riscos para auditoria governamental

By on 0 Comments

A análise preliminar do objeto de auditoria consolida o entendimento técnico sobre a unidade ou processo a ser auditado e viabiliza decisões fundamentadas sobre objetivos, escopo, recursos e cronograma. Nessa etapa, a equipe coleta informações, mapeia processos, realiza avaliação preliminar de controles e estima o risco residual, produzindo artefatos centrais do planejamento, em especial a matriz de riscos e controles, o fluxograma do processo e o relatório de informações da análise preliminar.

Conceito, finalidade e relação com o planejamento anual

A análise preliminar é o registro estruturado do conhecimento da auditoria sobre o ambiente do objeto: objetivos institucionais e operacionais, riscos e controles, normas aplicáveis, estrutura gerencial, fluxos e indicadores. Ela facilita o estabelecimento de objetivos e escopo do trabalho e a alocação de recursos. Quando houver planejamento anual da auditoria interna, essa etapa detalha o objetivo geral previsto e, se surgirem alterações relevantes, pode recomendar ajustes formais ao planejamento, sempre com justificativa técnica documentada.

Quando não existir mapeamento prévio do universo de auditoria, a análise preliminar pode inaugurá-lo e alimentá-lo, integrando aprendizados a um repositório institucional de conhecimento.

Coleta estruturada de informações

A obtenção de evidências iniciais deve ser ampla e orientada a risco, com documentação organizada nos papéis de trabalho. Fontes típicas incluem:

  • Internas: organogramas, regulamentos e manuais, planos e relatórios de gestão, indicadores, contratos e convênios, cadastros, trilhas de sistemas, relatórios contábeis e orçamentários.
  • Externas: relatórios de controle externo, achados de ciclos anteriores, recomendações pendentes, bases públicas, ouvidoria e denúncias, benchmarks setoriais.
  • Técnicas de obtenção: entrevistas, observação in loco, inspeção documental, extrações de dados e trilhas analíticas em sistemas de informação.

Parte significativa das horas do projeto tende a concentrar-se nessa fase para sustentar a identificação e a avaliação de riscos. Boas práticas internacionais (como as difundidas por comunidades profissionais de auditoria interna e gestão de riscos) recomendam padronização de formatos de papéis de trabalho, rastreabilidade e reprodutibilidade.

Mapeamento de processos e definição de objetivos e critérios

O mapeamento deve identificar macroprocessos, subprocessos, responsáveis, entradas e saídas, sistemas envolvidos, pontos de controle e indicadores. Delimita-se o objeto (fronteiras organizacionais, temáticas e temporais) e esclarecem-se os objetivos do processo auditado (de conformidade, operacionais, financeiros e de políticas públicas), juntamente com os critérios de auditoria que servirão de base para avaliação (normas, regulamentos, metas e parâmetros gerenciais pertinentes).

A representação gráfica por fluxogramas auxilia a visualização de riscos, controles-chave e gargalos, e compõe a documentação a ser aprovada internamente.

Identificação de riscos inerentes

Com o processo mapeado, identificam-se eventos de risco considerando causa, evento e consequência, bem como possíveis impactos (financeiro, legal, de integridade, continuidade do serviço, imagem e entrega de valor público) e a probabilidade de ocorrência. Categorias usuais no setor público incluem: legalidade e conformidade, orçamentário-financeiro e patrimonial, contratações e aquisições, concessão de benefícios e repasses, tecnologia da informação, integridade e fraude, governança e gestão de desempenho.

A análise de dados pode revelar padrões atípicos, falhas de segregação de funções ou transações fora de parâmetros, alimentando a priorização de riscos.

Avaliação preliminar de controles

A avaliação preliminar observa o desenho (design) e a implementação de controles relacionados aos riscos-chave. São recomendáveis walkthroughs e testes-piloto com amostras pequenas para aferir se o controle existe, é compreensível, está implementado e opera de modo consistente no período. Nessa etapa, classifica-se a robustez do controle para fins de planejamento (p. ex., forte, moderado, fraco), ciente de que a confirmação ocorrerá na execução, com testes de maior extensão.

Devem ser considerados controles automáticos e manuais, de prevenção, detecção e correção, bem como controles compensatórios e aspectos de segregação de funções e trilhas de auditoria em sistemas.

Mensuração do risco residual e priorização

O risco residual decorre do risco inerente ponderado pela efetividade esperada dos controles. Utilizam-se escalas qualitativas de impacto e probabilidade e, quando pertinente, fatores de detecção. A priorização leva em conta materialidade, criticidade para as entregas de valor público, sensibilidade social, complexidade do processo e tolerância ao risco definida pela governança. Os riscos residuais mais elevados tendem a direcionar o escopo e a intensidade dos procedimentos de auditoria.

Matriz de riscos e controles: estrutura e uso no planejamento

A matriz de riscos e controles consolida, em um único instrumento, o encadeamento objetivo–risco–controle–resposta de auditoria. Campos recomendáveis:

  • Objetivo do processo e produto/resultado associado
  • Risco (causa, evento, consequência) e categoria
  • Controles existentes (descrição, natureza e frequência)
  • Avaliação preliminar do desenho e da implementação
  • Evidências coletadas na fase preliminar (amostras-piloto, walkthroughs)
  • Avaliação do risco inerente e do risco residual
  • Resposta de auditoria planejada (testes de controles e/ou substantivos)
  • Natureza, extensão e oportunidade dos procedimentos
  • Estimativa de recursos e competências necessárias
  • Prioridade e justificativa técnica

Essa matriz se converte no eixo da matriz de planejamento da auditoria, informando objetivos específicos, critérios, procedimentos e amostragem.

Definição do escopo e dos objetivos da auditoria

Com base na matriz, estabelecem-se:

  • Objetivo(s) geral(is) e específicos da auditoria
  • Delimitação temática, organizacional e temporal do escopo (o que será incluído/excluído e por quê)
  • Unidades, processos e sistemas a cobrir; período auditado; recortes geográficos quando aplicável
  • Critérios de priorização (materialidade, risco residual, relevância social e dependências entre processos)
  • Recursos, cronograma, marcos de reavaliação e premissas

A definição do escopo deve ser proporcional ao risco e à capacidade operacional da equipe. Caso, durante a análise preliminar, emergirem fatos que alterem substancialmente premissas, a equipe pode propor replanejamento.

Amostragem e cobertura baseadas em risco

Na fase preliminar, utilizam-se amostras pequenas e direcionadas para aferir desenho e implementação de controles. Para a execução, definem-se estratégias de amostragem compatíveis com os objetivos (estatística, dirigida por risco, unitização por atributos, cortes temporais), documentando-se a justificativa técnica, a unidade amostral, os parâmetros e as limitações.

Documentação, governança e comunicação

Os principais produtos dessa etapa são: (i) fluxograma(s) do processo; (ii) relatório de informações da análise preliminar, consolidando achados e premissas; e (iii) matriz de riscos e controles. Recomenda-se revisão por pares, aprovação hierárquica e guarda institucional conforme normas internas de papéis de trabalho. A comunicação com a unidade auditada sobre o entendimento do processo e o plano de trabalho deve observar independência e confidencialidade e registrar eventuais restrições de acesso a dados.

Boas práticas e armadilhas comuns

Boas práticas:

  • Triangulação de fontes (documentos, dados, entrevistas e observação)
  • Uso de analytics para detectar anomalias e calibrar a priorização de riscos
  • Atualização do universo de auditoria com aprendizados da análise preliminar
  • Documentação clara de premissas, critérios e decisões de escopo

Armadilhas a evitar:

  • Escopo excessivamente amplo e não aderente à capacidade
  • Confiar em autoavaliações sem evidências
  • Pular testes-piloto de controles ou presumir sua efetividade
  • Falta de rastreabilidade entre risco identificado e resposta de auditoria proposta

Da análise preliminar ao programa de auditoria

Concluída a análise preliminar, a equipe dispõe de justificativa técnica para o escopo, objetivos específicos, critérios, procedimentos e amostragem. Esses elementos alimentam o programa de auditoria e dão transparência às escolhas de cobertura e profundidade, sustentando um planejamento baseado em risco e orientado à entrega de valor público.

Conheça a Pós-Graduação em Auditoria Interna e Controle Governamental

Share.

About Author

Related Posts

Comments are closed.